Konfigurieren Sie die Mindestverschlüsselung für eine Arbeitsgruppe - Amazon Athena

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren Sie die Mindestverschlüsselung für eine Arbeitsgruppe

Als Administrator einer SQL Athena-Arbeitsgruppe können Sie in Amazon S3 eine minimale Verschlüsselungsstufe für alle Abfrageergebnisse der Arbeitsgruppe erzwingen. Sie können dieses Feature verwenden, um sicherzustellen, dass Abfrageergebnisse niemals unverschlüsselt in einem Amazon-S3-Bucket gespeichert werden.

Wenn Benutzer in einer Arbeitsgruppe mit aktivierter Mindestverschlüsselung eine Abfrage einreichen, können sie die Verschlüsselung nur auf die von Ihnen konfigurierte Mindeststufe oder auf eine höhere Stufe einstellen, falls eine verfügbar ist. Athena verschlüsselt Abfrageergebnisse entweder auf der Ebene, die angegeben wurde, wenn der Benutzer die Abfrage ausführt, oder auf der Ebene, die in der Arbeitsgruppe festgelegt wurde.

Die folgenden Stufen sind verfügbar:

  • Basic — Serverseitige Amazon S3-Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE_S3).

  • Fortgeschritten — Serverseitige Verschlüsselung mit KMS verwalteten Schlüsseln (SSE_ KMS).

  • Erweitert — Clientseitige Verschlüsselung mit KMS verwalteten Schlüsseln (CSE_ KMS).

Überlegungen und Einschränkungen

  • Das Mindestverschlüsselungs-Feature ist für Apache-Spark-fähige Arbeitsgruppen nicht verfügbar.

  • Das Mindestverschlüsselungs-Feature funktioniert nur, wenn die Arbeitsgruppe die Option Clientseitige Einstellungen überschreiben nicht aktiviert.

  • Wenn für die Arbeitsgruppe die Option Clientseitige Einstellungen überschreiben aktiviert ist, hat die Einstellung für die Arbeitsgruppenverschlüsselung Vorrang, und die Einstellung für die Mindestverschlüsselung hat keine Auswirkung.

  • Die Aktivierung dieses Features ist kostenlos.

Aktivierung der Mindestverschlüsselung für eine Arbeitsgruppe

Sie können eine Mindestverschlüsselungsstufe für die Abfrageergebnisse Ihrer SQL Athena-Arbeitsgruppe aktivieren, wenn Sie die Arbeitsgruppe erstellen oder aktualisieren. Dazu können Sie die Athena-Konsole, Athena oder API verwenden. AWS CLI

Verwendung der Athena-Konsole zur Aktivierung der Mindestverschlüsselung

Informationen zum Erstellen oder Bearbeiten Ihrer Arbeitsgruppe mit der Athena-Konsole finden Sie unter Eine Arbeitsgruppe erstellen oder Eine Arbeitsgruppe bearbeiten. Gehen Sie bei der Konfiguration Ihrer Arbeitsgruppe wie folgt vor, um die Mindestverschlüsselung zu aktivieren.

So konfigurieren Sie die Mindestverschlüsselungsstufe für Arbeitsgruppenabfrageergebnisse
  1. Erweitern Sie im Abschnitt Zusätzliche Konfigurationen die Option Einstellungen.

  2. Deaktivieren Sie die Option Clientseitige Einstellungen überschreiben, oder stellen Sie sicher, dass sie nicht ausgewählt ist.

  3. Erweitern Sie im Abschnitt Zusätzliche Konfigurationen die Option Konfiguration der Abfrageergebnisse.

  4. Wählen Sie die Option Abfrageergebnisse verschlüsseln aus.

  5. Wählen Sie unter Verschlüsselungstyp die Verschlüsselungsmethode aus, die Athena für die Abfrageergebnisse Ihrer Arbeitsgruppe verwenden soll (SSE_S3KMS, SSE_ oder CSE _). KMS Diese Verschlüsselungstypen entsprechen den Sicherheitsstufen „Basis“, „Mittelstufe“ und „Erweitert“.

  6. Um die Verschlüsselungsmethode durchzusetzen, die Sie als Mindestverschlüsselungsstufe für alle Benutzer ausgewählt haben, wählen Sie Set encryption_method als Mindestverschlüsselung.

    Wenn Sie diese Option auswählen, werden in einer Tabelle die Verschlüsselungshierarchie und die Verschlüsselungsstufen aufgeführt, die Benutzern gewährt werden, wenn der von Ihnen gewählte Verschlüsselungstyp zum Mindestverschlüsselungstyp wird.

  7. Nachdem Sie Ihre Arbeitsgruppe erstellt oder Ihre Arbeitsgruppenkonfiguration aktualisiert haben, wählen Sie Arbeitsgruppe erstellen oder Änderungen speichern.

Athena verwenden API oder AWS CLI um die Mindestverschlüsselung zu aktivieren

Wenn Sie das CreateWorkGroupoder verwenden UpdateWorkGroupAPI, um eine SQL Athena-Arbeitsgruppe zu erstellen oder EnforceWorkGroupConfigurationzu aktualisieren, setzen Sie es auf falsetrue, EnableMinimumEncryptionConfigurationauf und verwenden Sie das, EncryptionOptionum den Verschlüsselungstyp anzugeben.

Verwenden Sie in der AWS CLI den update-work-groupBefehl create-work-groupoder mit den --configuration-updates Parametern --configuration oder und geben Sie die Optionen an, die denen für die entsprechen. API